Другие новости
Конфликт США и Ирана вновь обострился, но стороны пока избегают полномасштабной войны
Freedom Holding Corp. получила «зеленый свет» от регуляторов Турции на покупку банка
Контрафактная светотехника: угроза для безопасности потребителей и удар по российской экономике
Крупный контракт для «Ростеха»: Ми-171 отправятся в Иран
MORS ARCHITECTS разработало интерьеры для проекта «ЛЕГЕНДА Васильевского» в Санкт-Петербурге
Инженерное наследие Юрия Лужкова оценили на фестивале «ХИМФЕСТ»
Баг WordPress ставит под угрозу многие блоги
Экономика
Критическая уязвимость, найденная в плагине WordPress, который скачали более 1.7 миллионов раз, позволяет потенциальным злоумышленникам получить полный контроль над блогами, использующими данный плагин.

«Этот баг следует принимать всерьез. Он дает потенциальному злоумышленнику возможность сделать все, что он захочет на веб-сайте своей жертвы», сказал Даниэль Сид, главный директор по технологиям Sucuri, в своем блоге во вторник. «Уязвимость позволяет загрузить любой PHP-файл. Это может позволить злоумышленнику использовать ваш веб-сайт для фишинга, рассылки спама, хостинга вредоносного ПО, заражения других клиентов (на общем сервере) и так далее!»
Уязвимость исправлена в MailPoet версии 2.6.7, выпущенной во вторник, так что всем администраторам блога WordPress необходимо обновить плагин до последней версии как можно скорее, если они его используют.
Уязвимость появилась в результате ошибки разработчиков MailPoet, которые полагали, что хук «admin_init» в WordPress срабатывает только когда администратор посещает страницы из панели администрирования, сказал Сид.
Разработчики MailPoet использовали admin_init для проверки — разрешено ли активному пользователю загружать файлы, но так как это хук на самом деле срабатывает на странице, доступной для неидентифицированных пользователей, функциональность загрузки файлов была доступна практически любому.
Легко сделать такую ошибку, и все разработчики плагинов должны помнить о таком поведении, сказал Сид. «Если вы разработчик, никогда не используйте admin_init () или is_admin () в качестве метода проверки подлинности».
Сайты WordPress являются постоянной мишенью для злоумышленников, и те, которые взламывают, часто используются для размещения спама или вредоносного содержимого в качестве части других атак. Киберпреступники производят сканирование в Интернете каждый день, чтобы определить инсталляции WordPress, подверженные уязвимостям, как обнаруженная в MailPoet.
USD 76.66
ЕВРО 87.67